问：隧道分离(split-tunnel)VPN有多安全？木马、rootkit或者其它恶意软件是否有可能通过分离隧道入侵企业网络，窃取敏感数据？遵从PCI DSS等法规不利于分离隧道的VPN，这种说法是否正确？

　　答：分离隧道的VPN本身没有安全或不安全之说。然而，在决定集中流量还是实施分离隧道时，你需要平衡需求，控制所有用户的流量，抵御用户和企业在处理外部流量时可能会面临的危险。

　　隧道分离的美妙之处在于，你的公司不再需要为VPN用户提供一般的网络接入点。VPN客户可以利用分离隧道，自动判断能否通过虚拟专用网获取网址，如果不能，用户可以通过网络连接直接传递网址。如果用户只能发送10％的流量到企业网络，你可以让接入提供商处理剩下的90％。

　　另外，分离隧道可能会给用户留下错误的安全感觉。如果他们遵循“从隧道接入VPN”的原则，员工可能会觉得他们所有的流量，包括私人邮件和Web浏览数据，都被VPN加密了。他们可能不会意识到，本地网络的流量很容易被拦截。

　　从法规遵从的角度来讲，PCI DSS并没有对分离隧道做出任何声明。我认为，在法规遵从的审计过程中，你应该合理地看待每种方法。分离隧道并没有真正降低企业网络受恶意软件感染的危险性。即使你制定了VPN隧道战略，如果恶意软件在计算机接入VPN之前已经存在，那么接入以后恶意软件依然会存在。如果你希望确保连接到VPN的系统不受恶意软件感染，我建议采用网络入控制（NAC）技术。